Компания Juniper Networks предупредила клиентов об атаках вредоносного ПО Mirai, направленных на маршрутизаторы Session Smart и заражающих их, используя стандартные учетные данные.
Как пояснили в компании, специализирующейся на сетевых инфраструктурах, вредоносная программа сканирует устройства с учетными данными по умолчанию и после получения доступа удаленно выполняет команды, позволяя осуществлять широкий спектр вредоносных действий.
Впервые кампания была замечена 11 декабря, когда в сетях клиентов были обнаружены первые зараженные маршрутизаторы. Позже операторы ботнета на базе Mirai использовали зараженные устройства для проведения распределенных атак типа «отказ в обслуживании» (DDoS).
«11 декабря 2024 года, несколько клиентов сообщили о подозрительном поведении своих платформ Session Smart Network (SSN). Любой клиент, не соблюдающий рекомендуемые передовые методы и все еще использующий пароли по умолчанию, может считаться скомпрометированным, поскольку пароли SSR по умолчанию были добавлены в вирусную базу данных»
- говорится в опубликованном во вторник сообщении службы безопасности
Juniper также поделилась индикаторами компрометации, которые администраторы должны искать в своих сетях и устройствах, чтобы обнаружить потенциальную активность вредоносного ПО Mirai, в том числе:
- сканирование устройств на общих портах четвертого уровня (например, 23, 2323, 80, 8080),
- неудачные попытки входа в SSH-сервисы, указывающие на атаки методом «грубой силы»,
- внезапный всплеск объема исходящего трафика, намекающий на то, что устройства используются для DDoS-атак,
- устройства перезагружаются или ведут себя нестабильно, что указывает на то, что они были взломаны,
- SSH-соединения с известных вредоносных IP-адресов.
Компания рекомендовала клиентам немедленно обеспечить соблюдение рекомендованных правил использования имен пользователей и паролей, включая изменение учетных данных по умолчанию на всех маршрутизаторах Session Smart и использование уникальных и надежных паролей на всех устройствах.
Администраторам также рекомендуется обновлять прошивку, просматривать журналы доступа на предмет аномалий, устанавливать автоматическое оповещение при обнаружении подозрительной активности, развертывать системы обнаружения вторжений для мониторинга сетевой активности и использовать межсетевые экраны для блокировки несанкционированного доступа к устройствам, подключенным к Интернету.
Juniper также предупредила, что маршрутизаторы, уже зараженные в результате этих атак, должны быть заново настроены, прежде чем их можно будет вернуть в сеть.
«Если обнаружено, что система заражена, единственным надежным способом остановить угрозу является повторное сканирование системы, поскольку невозможно точно определить, что именно могло быть изменено или получено с устройства»
В прошлом году, в августе, служба мониторинга угроз ShadowServer предупредила о продолжающихся атаках, направленных на критическую цепочку эксплойтов удаленного выполнения кода, затрагивающих коммутаторы Juniper EX и межсетевые экраны SRX, с использованием эксплойта WatchTowr Labs proof-of-concept (PoC).
С тех пор Juniper также предупредила о критической ошибке RCE в своих брандмауэрах и коммутаторах в январе и выпустила обновление, выходящее за рамки цикла, для дефекта обхода аутентификации с максимальной степенью защиты в своих продуктах Session Smart Router (SSR), Session Smart Conductor и WAN Assurance Router.